问题标签 [remember-me]

我使用 tf.exe 命令获取最新代码，但它一直在询问用户名/密码 - 有没有办法让这些凭据被记住？

我查看了 tf.exe 参数列表，但没有允许传入用户名/密码的选项。接下来我可以尝试什么？

我正在尝试为我正在构建的 ASP.NET MVC 站点实现“记住我”登录功能。我正在尝试使用这种方法http://jaspan.com/improved_persistent_login_cookie_best_practice（请参阅顶部附近的“米勒设计”）并让它在一定程度上发挥作用。

因此工作流程是：

1. 用户登录并获得加密安全随机字符串 + 他们的数据库 ID 作为持久 cookie（持续约 30 天）。安全字符串存储在他们的用户帐户记录旁边的数据库中。
2. 用户稍后返回浏览器显示登录 cookie 的站点，在数据库中查找 ID 和安全密钥，如果找到匹配项，则自动对用户进行身份验证。
3. 一旦经过身份验证，就会生成一个新的安全密钥，并将其存储在数据库中并发布新的 cookie。

我的工作正常，但是，如果用户从多个浏览器或计算机登录，它就不能很好地工作。显然，不同的浏览器最终会以不同的安全密钥存储为 cookie，因此工作流程变为：

1. 用户从浏览器 A 登录，获得一个安全密钥作为 cookie，密钥存储在数据库中。
2. 用户从浏览器 B 登录，将获得不同的安全密钥作为 cookie。密钥也存储在数据库中，但会覆盖从浏览器 A 生成的密钥。
3. 用户再次从浏览器 A 访问站点，浏览器显示从步骤 1 发出的 cookie。但它不再匹配，因为在步骤 2 中替换了安全密钥。因此用户必须再次登录。生成另一个新密钥并覆盖颁发给浏览器 B 的密钥。
4. 用户再次从浏览器 B 访问，密钥不匹配，必须重新登录等。

我该如何解决这个问题？我需要在数据库中存储和维护多个密钥吗？我是否以正确的方式去做这件事？我注意到 StackOverflow 似乎可以管理这个并从不同的浏览器和计算机中记住我。

我想在 Drupal 6 的登录页面中添加一个选项“记住我的密码”。有没有这个模块？

是否有任何 drupal 模块可以记住登录页面上的用户名和密码，并在用户退出后返回时自动填写字段？

对于我最新的项目，我使用的是https://github.com/hassox/rails_warden。它非常适合我的需求，只是我找不到实现 remember_me 的好方法。我知道从安全的角度来看，要记住我是出了名的困难，所以我希望有一个项目可以完成这项工作。有人看到了什么或有一个好主意吗？

HttpOnly默认情况下，rails session cookie 是，但remember_user_tokenDevise 的 Rememberable 模块设置的 cookie 不是。

据我了解，发送 cookie 会导致用户收到一个新的会话 cookie，因此它肯定容易受到 XSS 的攻击。

那么有没有办法将它设置为HttpOnly？

您如何避免会话劫持和其他登录时记住我的问题？我知道的一件事是添加 md5 或用户代理，但这本身并不是一个很好的保护……还有其他的吗？

我问了关于我的问题的各种问题（这里和这里），我还在 IRC 上的#oauth & #openid freenode 频道中提问。（这是一个“UP”问题，这是另一个问题）

我将总结我的项目配置：任何人都可以创建一个可以使用我的 API 的应用程序。首先，我将处理我的 API 和基于 Web 的应用程序，但有关 API 的文档将是公开的。这有点像 Twitter API。

我面临的问题是我如何确定哪个用户正在使用 API（检索他的个人数据，比如你的推文），即使用户正在使用我不知道是谁制作的应用程序（再次，比如 twitter以及周围的所有应用程序）。

我用谷歌搜索了很多，在之前给出的答案的帮助下，我看了一下 OAuth。

据我了解 OAuth 的工作方式，这里如何：

• 用户访问使用我的 API 的应用程序（网络、移动设备等）
• 应用程序将用户重定向到用于身份验证（我将使用 OpenId）和授权 (OAuth) 的 API。这有点奇怪，因为 API 将有一个用于登录和授权的 Web 界面（我想这就是 Twitter 的工作方式）
• API 使用一些令牌将连接的用户重定向到应用程序。在这些令牌中，有一个表示应用程序必须存储的用户的令牌，以便向 API 指示哪个用户当前正在使用它（我正确吗？）

到目前为止，一切顺利。但我想不通的是，当用户退出应用程序并再次运行时：应用程序如何记住用户是之前使用它的用户？

（在你们中的一些人给我带来cookie答案之前，我会说这是一个简单的例子，如果用户清除他的 cookie，格式化他的计算机或更改它的计算机，它会是一样的。）

我能找到的唯一解决方案是，当未经身份验证的用户（例如，没有记忆 cookie）访问应用程序时，应用程序将他再次重定向到 API 以验证自己，但这一次，用户不必重新 -允许应用程序（授权），因为它已经这样做了。然后 API 会将用户返回到应用程序以允许他使用它。

这是正确且安全的方法吗？

The #OAuth IRC channel told me about the new protocol, WebID, but this is currently in pre-draft mode and I don't want to use something that will change continuously in the future :/

Thank you very much for your help!

我正在使用 Spring Security 3.0.0 和持久的 RememberMe。当服务器重新启动并且浏览器窗口仍然打开时，我们需要能够继续使用应用程序而无需登录 - 如果选择了记住我。

我收到 org.springframework.security.web.authentication.rememberme.CookieTheftException: Invalid remember-me token (Series/token) mismatch。当我在服务器重新启动后尝试继续使用应用程序时，意味着先前的 cookie 盗窃攻击。我注意到的是 processAutoLoginCookie 方法被调用了两次。我不确定为什么。该方法本身的行为似乎是正确的，即更新数据库中的令牌并更新客户端中的cookie。

对此的任何帮助将不胜感激。

谢谢你。

在学习 PHP 如何支持 Unicode 的过程中，我一直在研究如何让我的“记住我”cookie 更加安全。但是，有一些我不明白的事情以及我自己的一些想法，我想提出一些建议和意见。

1) 有什么方法可以采用不涉及 cookie 的“记住我”功能？很好奇，因为在存储身份验证 cookie 时存在明显的安全漏洞。并不是说几乎所有东西都没有安全风险。

2) 由于我不使用银行或“高度敏感”的信息，是否有必要要求用户在更“高调”的区域输入密码？如果我们只是要求他们在两分钟后基本上登录，那么记住登录似乎是一种浪费。

3) 存储身份验证 cookie 的绝对最佳方法是什么（除了“根本没有”）？我目前对该区域进行了编码以在 cookie 中设置单个令牌（使用 time()、他们的用户代理、remote_addr 和 salt - sha256 进行散列）。当所述用户回来时，它会检查“会话”表中的令牌，然后将 IP 与 IP 匹配以将其登录。如果令牌存在但 IP 不匹配，它会默默地取消设置 cookie 并要求他们以身份登录如果他们没有。

再次感谢大家。

I'm using ASP.NET forms authentication for logging users into a website we're developing.

Part of the functionality is a "Remember me" checkbox which remembers the user for a month if they check it.

The code for logging the user in is as follows:

The relevant section in the web.config is this:

This logs the user fine but logs them out after half an hour if they don't use the site, although its persistence property (rememberMeChecked) is set to true and if it is true, the cookie is set to expire after a month. Is there something I'm missing here?

Thanks in advance, F